Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[David Ponzone]

Michel,

Je te préviens ici car je peux plus te faire de mail :)

Delivery to the following recipient failed permanently:

mic...@arneill-py.sacramento.ca.us

Technical details of permanent failure: 
Google tried to deliver your message, but it was rejected by the server for the 
recipient domain arneill-py.sacramento.ca.us by arneill-py.sacramento.ca.us. 
[50.1.8.254].

The error that the other server returned was:
550 5.7.1 Recipient not authorized, your IP has been found on a block list

Je crois que t'as blacklisté Gmail.
Bon, ça se défend hein...

David Ponzone



> Le 21 janv. 2016 à 04:42, Michel Py  a 
> écrit :
> 
> Bonjour à tous,
> 
> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans 
> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, 
> par demande populaire.
> 
> La question du jour : quand un { zombie | abruti | mec avec des gros doigts | 
> hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au 
> premier essai. Pour combien de temps ? 24 h ?
> 
> Michel
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Dominique Rousseau]

Le Thu, Jan 21, 2016 at 01:11:00PM +0100, Pierre Colombier 
[pcdw...@pcdwarf.net] a écrit:
> Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un
> coup à se bloquer soi-même et à avoir des effets indésirables.
> (je fait partie des utilisateurs à gros doigts)
> Mais il y a aussi le problème des 50 usagers derrière un nat. ça
> serait même étonnant qu'il n'y ait pas 3 échecs le matin quand tout
> le monde se log.

C'est pour ca que y'a une liste blanche dans la configuration de
fail2ban :)
( -> ignoreip )


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[David Ponzone]

Entièrement d’accord avec toi. Le fail2ban, c’est surtout pour arrêter d’avoir 
de la merde dans les logs.
Pour les gros doits de l’admin, y a ignoreip :)

> Le 21 janv. 2016 à 13:11, Pierre Colombier  a écrit :
> 
> Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se 
> bloquer soi-même et à avoir des effets indésirables.
> (je fait partie des utilisateurs à gros doigts)
> Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même 
> étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log.
> 
> Mais surtout, je ne saisis pas la pertinence en termes de sécurité :
> 
> Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te 
> protègera, quelque soit le seuil.
> 
> Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10 
> minutes.
> Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se 
> faire débloquer.
> Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé.
> 
> L'autre souci avec des ban longs et des seuils bas, c'est que tu va te 
> traîner des tables de ban assez volumineuses alors que l'attaque a cessé très 
> peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi 
> des problèmes de perf.
> 
> Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui 
> compte, c'est avant tout d'empecher le déni de service.
> Personnellement j'emploie ça
> 
> - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même 
> temps ça fait réfléchir l'utilisateur étourdi)
> - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir 
> affaire a un humain et ban pendant 1 heure.
>   Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de 
> passe n'est pas trop bidon ça peut tenir des siècles...
> - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui 
> s'obstine ou qui joue avec les seuils de détection => ban 8 jours.
> 
> 
> 
> On 21/01/2016 07:44, David Ponzone wrote:
>> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>> 
>> David Ponzone
>> 
>> 
>> 
>>> Le 21 janv. 2016 à 04:42, Michel Py  a 
>>> écrit :
>>> 
>>> Bonjour à tous,
>>> 
>>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>>> bash / python en beta-test pour en faire une "vraie" app : les préfixes 
>>> dans une base de données sqlite3 avec des dates. Et des communautés BGP 
>>> séparées, par demande populaire.
>>> 
>>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la 
>>> moulinette au premier essai. Pour combien de temps ? 24 h ?
>>> 
>>> Michel
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Pierre Colombier]

Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup 
à se bloquer soi-même et à avoir des effets indésirables.

(je fait partie des utilisateurs à gros doigts)
Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait 
même étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se 
log.


Mais surtout, je ne saisis pas la pertinence en termes de sécurité :

Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui 
te protègera, quelque soit le seuil.


Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives 
en 10 minutes.
Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder 
pour se faire débloquer.

Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé.

L'autre souci avec des ban longs et des seuils bas, c'est que tu va te 
traîner des tables de ban assez volumineuses alors que l'attaque a cessé 
très peu de temps après le blocage. Un firewall avec trop de règles, ça 
pose aussi des problèmes de perf.


Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui 
compte, c'est avant tout d'empecher le déni de service.

Personnellement j'emploie ça

- 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en 
même temps ça fait réfléchir l'utilisateur étourdi)
- 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir 
affaire a un humain et ban pendant 1 heure.
   Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le 
mot de passe n'est pas trop bidon ça peut tenir des siècles...
- 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui 
s'obstine ou qui joue avec les seuils de détection => ban 8 jours.




On 21/01/2016 07:44, David Ponzone wrote:

Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.

David Ponzone




Le 21 janv. 2016 à 04:42, Michel Py  a 
écrit :

Bonjour à tous,

Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash / python 
en beta-test pour en faire une "vraie" app : les préfixes dans une base de 
données sqlite3 avec des dates. Et des communautés BGP séparées, par demande populaire.

La question du jour : quand un { zombie | abruti | mec avec des gros doigts | 
hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au 
premier essai. Pour combien de temps ? 24 h ?

Michel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Edouard Chamillard]

pareil, j'utilise des bans exponentiels. premier ban -> drop une heure.
si ça recommence 6h apres la fin de la premiere periode -> une semaine.
si ça recommence dans les six semaines apres la fin de la seconde -> un an.


On 01/21/2016 07:44 AM, David Ponzone wrote:
> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>
> David Ponzone
>
>
>
>> Le 21 janv. 2016 à 04:42, Michel Py  a 
>> écrit :
>>
>> Bonjour à tous,
>>
>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans 
>> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, 
>> par demande populaire.
>>
>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette 
>> au premier essai. Pour combien de temps ? 24 h ?
>>
>> Michel
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Edouard Chamillard]

: host
arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not
authorized, your IP has been found on a block list (in reply to RCPT TO
command)

promis c'est pas moi le vilain qui essaie de telnet en root ;)

On 01/21/2016 10:10 AM, Edouard Chamillard wrote:
> pareil, j'utilise des bans exponentiels. premier ban -> drop une heure.
> si ça recommence 6h apres la fin de la premiere periode -> une semaine.
> si ça recommence dans les six semaines apres la fin de la seconde -> un an.
>
>
> On 01/21/2016 07:44 AM, David Ponzone wrote:
>> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>>
>> David Ponzone
>>
>>
>>
>>> Le 21 janv. 2016 à 04:42, Michel Py  a 
>>> écrit :
>>>
>>> Bonjour à tous,
>>>
>>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
>>> bash / python en beta-test pour en faire une "vraie" app : les préfixes 
>>> dans une base de données sqlite3 avec des dates. Et des communautés BGP 
>>> séparées, par demande populaire.
>>>
>>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts 
>>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la 
>>> moulinette au premier essai. Pour combien de temps ? 24 h ?
>>>
>>> Michel
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Michel Py]

Merci à tous pour les retours,

L'avantage de faire çà avec un feed BGP au lieu de { fail2ban | snort | 
suricata } c'est que c'est facile à redistribuer en temps réel. Pas besoin 
d'attendre que çà se retrouve dans les rules.


> Pierre Colombier a écrit :
> Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se 
> bloquer soi-même
> et à avoir des effets indésirables. (je fait partie des utilisateurs à gros 
> doigts)

Sauf que je ne me sers jamais de telnet pour me logger en root.

> Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même 
> étonnant
> qu'il n'y ait pas 3 échecs le matin quand tout le monde se log.

Pareil : pas sur mon routeur, et pas en root.


> Edouard Chamillard a écrit :
> arneill-py.sacramento.ca.us[50.1.8.254] said: 550 5.7.1 Recipient not 
> authorized,
> your IP has been found on a block list (in reply to RCPT TO command)

Ah, la lute contre le spam, le quotidien de bien des lecteurs, dont on se 
passerait volontiers.

C'est quoi l'IP de laquelle tu venais ?
Je vérifie mon IP tout le temps ici: http://mxtoolbox.com/blacklists.aspx
Je viens de vérifier les trois IP qui étaient dans le header SMTP ( 
217.24.82.4, 87.98.174.144, 213.186.33.56 ) et elles étaient vertes toutes les 
trois.
Pour le spam j'utilise 5 listes (commentaires bienvenus) :

zen.spamhaus.org
dnsbl.sorbs.net
bl.spamcop.net
truncate.gbudb.net
spamsources.fabel.dk

Et en plus de çà Symantec Mail Security for Exchange (liste propriétaire et 
payante)

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[David Ponzone]

Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.

David Ponzone



> Le 21 janv. 2016 à 04:42, Michel Py  a 
> écrit :
> 
> Bonjour à tous,
> 
> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille 
> bash / python en beta-test pour en faire une "vraie" app : les préfixes dans 
> une base de données sqlite3 avec des dates. Et des communautés BGP séparées, 
> par demande populaire.
> 
> La question du jour : quand un { zombie | abruti | mec avec des gros doigts | 
> hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au 
> premier essai. Pour combien de temps ? 24 h ?
> 
> Michel
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Le pare-feu du geek barbu : bloquer une IP, pour combien de temps ?

[Michel Py]

Bonjour à tous,

Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash 
/ python en beta-test pour en faire une "vraie" app : les préfixes dans une 
base de données sqlite3 avec des dates. Et des communautés BGP séparées, par 
demande populaire.

La question du jour : quand un { zombie | abruti | mec avec des gros doigts | 
hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au 
premier essai. Pour combien de temps ? 24 h ?

Michel


---
Liste de diffusion du FRnOG
http://www.frnog.org/